🔴 hack

Kelp DAO perd 292M$ dans un hack bridge XXL : la DeFi saigne

292 millions de dollars volés en un seul exploit : Kelp DAO victime du plus grand hack DeFi de 2026, Aave, Lido et Compound dans la tourmente.
📅 dimanche 19 avril 2026 ⏱ 2 min de lecture · 30 vues
Kelp DAO perd 292M$ dans un hack bridge XXL : la DeFi saigne

C'est le braquage crypto de l'année. Le 18 avril 2026, Kelp DAO s'est fait vider de 292 millions de dollars via une attaque sophistiquée sur son bridge cross-chain. Le plus grand exploit DeFi de 2026, et il fait très mal.

L'attaquant a manipulé la couche de messagerie de LayerZero pour lui faire croire qu'un transfert légitime arrivait d'une autre blockchain. Message falsifié, vérification trompée, résultat : 116 500 rsETH — soit environ 18% du supply total du token — ont été transférés sans autorisation. En quelques minutes, le compte était fait.

Le vol ne s'est pas arrêté là. Les fonds dérobés ont été injectés dans plusieurs protocoles de prêt : Aave V3, Compound V3 et Euler. L'attaquant a utilisé le rsETH volé comme collatéral pour emprunter massivement du wETH, construisant plus de 236 millions de dollars de positions de dette. Au final, il a consolidé environ 74 000 ETH et généré plus de 280 millions de dollars de bad debt à travers l'écosystème.

La réaction en chaîne a été immédiate. Kelp DAO a suspendu tous les dépôts et retraits rsETH sur le mainnet et plusieurs L2. Aave a gelé les marchés rsETH sur V3 et V4, en précisant que ses propres contrats n'avaient pas été compromis — le problème vient du rsETH, pas d'Aave. SparkLend et Fluid ont fait de même, SparkLend annonçant une exposition zéro grâce à sa politique de risque conservatrice.

Lido Finance a suspendu les dépôts dans son produit earnETH, exposé au rsETH, tout en confirmant que le protocole principal et le stETH ne sont pas touchés. Ethena, de son côté, a coupé préventivement ses propres bridges LayerZero depuis Ethereum mainnet malgré aucune exposition au rsETH — une décision de précaution assumée, le temps d'identifier la cause racine.

Les marchés ont réagi sans pitié. Le token AAVE a chuté d'environ 10% dans les heures suivant l'annonce, collatéral visible d'une panique qui dépasse largement Kelp DAO.

Cet exploit dépasse en ampleur le hack de Drift Protocol du 1er avril 2026 — 285 millions de dollars volés et attribué à des acteurs liés à la Corée du Nord. Deux méga-hacks en moins de trois semaines, c'est un signal d'alarme que l'industrie ne peut pas ignorer.

Kelp DAO travaille avec LayerZero, Unichain, ses auditeurs et des experts en sécurité pour identifier précisément la faille et évaluer les dommages. Aucune feuille de route de remboursement n'a été communiquée à l'heure actuelle.

Ce que ça change : Les bridges cross-chain restent le maillon le plus faible de la DeFi — et les hackers le savent mieux que quiconque. Tant que la sécurité des couches de messagerie inter-chaînes ne sera pas radicalement repensée, ces attaques à 9 chiffres continueront. Kelp DAO n'est pas une exception, c'est un avertissement.

🛡️
Après ce hack, protège-toi
Les hacks arrivent tous les jours. Un Ledger garde tes actifs hors de portée des hackers.
Sécurise tes cryptos →
A lire aussi
Drift Protocol : Tether injecte 150M$ et vire l'USDC après le hack
hack
Drift Protocol : Tether injecte 150M$ et vire l'USDC après le hack
 Grinex hacké : +13M$ volés, successeur de Garantex KO
hack
Grinex hacké : +13M$ volés, successeur de Garantex KO
 450 millions volés en 2 semaines : la crypto sous le feu des hackers
hack
450 millions volés en 2 semaines : la crypto sous le feu des hackers